我正在尝试了解有关 DNSSEC 的更多信息,并且我对 RRSIG 的有效期和 ZSK 的生命周期之间的关系感到困惑。
当 RRSIG 过期时,是否意味着需要用新的 ZSK 进行签名?我见过 RRSIG 的有效期短至 2 天的例子。这是否意味着 ZSK 每 2 天更新一次?
答案1
当 RRSIG 过期时,是否意味着需要使用新的 ZSK 进行签名?
不,你用同一个 ZSK 再次签署记录。这是签名过期了,而不是密钥。
DNSSEC ZSK 的滚动更新与 RRSIG 有效性之间的关系
我正在尝试了解有关 DNSSEC 的更多信息,并且我对 RRSIG 的有效期和 ZSK 的生命周期之间的关系感到困惑。
当 RRSIG 过期时,是否意味着需要用新的 ZSK 进行签名?我见过 RRSIG 的有效期短至 2 天的例子。这是否意味着 ZSK 每 2 天更新一次?
当 RRSIG 过期时,是否意味着需要使用新的 ZSK 进行签名?
不,你用同一个 ZSK 再次签署记录。这是签名过期了,而不是密钥。